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43 ! ENTRA CON SPID 


22 dicembre 2020—Gli irriducibili 24 lettori di Cassandra ben sanno che la 
nostra profetessa, dopo aver mantenuto per anni una posizione fortemente critica 
sulla Spid, ha controvoglia iniziato a consigliarla, data la sua quasi obbligatorietà 
nei rapporti con le pubbliche amministrazioni. 


Ma consigliare la Spid porta anche la responsabilità di dover segnalare i problemi 
che il suo uso spesso causa; ecco quindi una nuova serie di articoli sui lati oscuri 
e le sorprese che possedere una Spid può causare. Il primo articolo della serie è 
una storia recentissima di vita vissuta. Ma andiamo con ordine. 


La Spid è un sistema centralizzato di autenticazione; per questo la sua disponibil- 
ità diventa una risorsa doppiamente critica. E critica per la nazione, perché una 


debacle della Spid impatta tutti i servizi delle pubbliche amministrazioni contem- 
poraneamente; lo ha dimostrato il recente collasso di parte dell’infrastruttura 
Spid nazionale durante il “click-day” del cashback, come pure il precedente col- 
lasso dovuto al Bonus Mobilità. 


È critica per chi la possiede; la Spid, quando diventa indispensabile, diventa crit- 
ica non solo per la nazione ma anche per il singolo utente. Sì, perché i vari Pin e 
password per gli accessi ai siti, particolarmente delle pubbliche amministrazioni, 
non vengono più utilizzati, e quindi “scadono” o vengono semplicemente persi 
e dimenticati. E la Spid diventa, come deve, l’unica chiave di accesso al regno 
dei servizi pubblici. 


E improvvisamente... improvvisamente Cassandra, in una tranquilla domenica, 
prova ad autenticarsi al sito dell’ Inps con la propria Spid2, e riceve un errore 
criptico. Pensando che possa essere scaduta la password (ma non dovrebbe ar- 
rivare prima una mail di avviso?), o comunque successo qualcosa di strano, estrae 
con baldanza la smartcard della firma digitale e ripete la procedura utilizzando 
la sua Spid3, che non richiede nessuna password. Ooops... errore ancora più 
criptico del sito dell’Inps, che denuncia un inesistente timeout; autenticazione 
di nuovo negata. 


Ohibò, esclama Cassandra, vediamo un sito diverso; ripetendo le operazioni sul 
sito dell’ Agenzia delle Entrate (più stabile e “quadrato” di quello dell’Inps), 
prima con la Spid3 e poi con la Spid2 si ottengono altri due messaggi di errore 
di autenticazione fallita. Che qualche russo abbia compromesso le credenziali di 
Cassandra? 


Beh, è difficile sovvertire la Spid3, comunque andiamo sul pannello di gestione 
delle credenziali e... sorpresa, le credenziali della Spid vengono accettate, ma 
si viene diretti alla maschera di cambio password forzato, perché la password 
sembra scaduta. La password non dovrebbe essere scaduta, perché dura 6 mesi, 
e perché la scadenza viene preannunciata da una mail 30 giorni prima, ma un 
cambio password non si nega a nessuno quindi cambiamo, click su invio e... 
“Operazione non consentita per password in stato sospesa”. 


Il messaggio dice proprio “sospesa” non scaduta. Le password “scadono”, solo 
le credenziali vengono “sospese”. E se fosse la Spid di Cassandra ad essere stata 
sospesa? Come mai esista la possibilità di “sospendere” la Spid e a che cosa 
questo serva sarà magari oggetto di un altro articolo. 


Quindi la Spid è stata sospesa, ma da chi e perché? Che qualcuno sia riuscito 
a disabilitare la mia credenziale Spid3 e poi a entrare nel pannello di gestione 
della Spid indovinando o carpendo la password? Ma dovrebbe comunque usare 
la Spid2... I peggiori pensieri attraversano la mente di Cassandra. 


Dopo una serie di giri a vuoto sul sito del gestore della Spid di Cassandra, 
facciamo finta che sia quello di Aruba.it, approdando a pagine di informazioni 
tanto generiche quanto inutili, finalmente Cassandra giunge a una pagina di 


spiegazioni, solo apparentemente generica ma in realtà conclusiva che dettagli- 
atamente annuncia: 


Identità Digitale sospesa: procedura per la riattivazione 
A seguito delle attività di monitoraggio effettuate in qualità di Ge- 
store delle identità digitali (art. 11 del DPCM 24 ottobre 2014), 
abbiamo temporaneamente sospeso l’identità digitale a lei intestata. 

La sospensione, eseguita a scopo cautelare, si è rivelata necessaria 
poiché il numero di telefono o l’indirizzo email associato alla sua 
identità risultano condivisi con altre identità digitali. 

Le ricordiamo che l’indirizzo email e numero di cellulare rappresen- 
tano un canale di contatto riservato e importantifattori di autenti- 
cazione che devono essere riconducibili ad un’unica persona. 

Per riattivare l'identità digitale e continuare ad utilizzarla come di 
consueto, è necessario eseguire le operazioni descritte di seguito en- 
tro 80 giorni dal tentativo di utilizzo delle credenziali Spid successivo 
alla sospensione. 

La informiamo che decorsi 30 giorni senza che siano state effettuate 
le modifiche sopra indicate, la sua identità digitale sarà revocata. 


Verissimo: cellulare ed mail di Cassandra, controllati e certificati, compaiono in 
più credenziali fin da quando sono state rilasciate, mai modificati, perfettamente 
regolari. Sospendere l’identità per questo senza neppure constatare che sono 
il numero di telefono e l’indirizzo email associato alle credenziali fin dal loro 
rilascio? 


Se la cosa sembra sospetta può essere ragionevole sospendere la credenziale con- 
tattando subito l’interessato, lo fanno anche i gestori di carte di credito, ma 
sospendere l’identità senza darne comunicazione, e oltretutto revocarla perma- 
nentemente dopo 30 giorni è... lasciamo perdere ciò che direbbe Fantozzi, diciamo 
solo che è assurdo! Un insulto e un grave danno potenziale per il cliente. 


E ora come venirne fuori? La password non può essere cambiata perché la 
credenziale Spid è sospesa, senza password non si possono confermare il numero 
di telefono e l’indirizzo di posta elettronica, e se non li si conferma non si può 
riattivare l’identità. Non c’è soluzione, è un incubo. 


Rimangono tuttavia due possibilità, estreme ma praticabili. La prima può sem- 
brare strana, ma è ragionevole, gratuita e abbastanza veloce; farsi un’altra Spid 
e aggirare il problema. Non sapevate di poter avere più di una Spid? La sec- 
onda è lunga e foriera di imprevisti; aprire un ticket all’assistenza, senza poter 
entrare nell’area utente, ma dovendo utilizzare il portale “generico”. Un viaggio 
periglioso ma che potrebbe risolvere rapidamente il problema. Bene, vista la 
situazione, meglio fare addirittura le due cose contemporaneamente: vediamo 
quale finisce prima. 


Dopo una mezz’ora di navigazione in un portale di customer care in cui le pagine 
vanno in timeout due volte su tre, riesco finalmente a postare un ticket, e passo 
subito a richiedere un’altra Spid, questa volta non ad Aruba ma a Poste Italiane. 


Utilizzando come metodo di riconoscimento la mia firma digitale, e stavolta con 
un po’ di fortuna, riesco a richiedere la Spid, facendomi identificare tramite 
la firma digitale apposta sul contratto, scaricato in formato Pdf e uploadato 
come Pdf firmato. Vado a vedere in posta se la nuova Spid è stata rilasciata e, 
sorpresa, trovo un messaggio di Aruba che dice che il problema è stato risolto. 
Ah... ma cosa devo fare? 


Cerco di tornare sul portale di assistenza clienti, e dopo un quarto d’ora di 
tentativi trovo la risposta del consulente che dice di avermi inviato una password 
temporanea. Torno nella mail. Nessuna password. Stanno invece cominciando 
ad arrivare le mail di Poste Italiane, che scandiscono le varie fasi del processo di 
rilascio della nuova Spid. Avendo scelto un riconoscimento online è tutto molto 
più facile e funziona anche di domenica. 


Torno sul portale del customer care di Aruba, e con un ulteriore quarto d’ora 
di sforzi riesco ad aprire un secondo ticket di mancato arrivo password. Già 
che ci sono, non confermo la chiusura del primo ticket e segnalo il mancato 
arrivo della password anche come commento al primo ticket. Torno nella posta 
e trovo la mail di conferma della creazione della Spid di Poste Italiane con le 
istruzioni su come procedere per la prima autenticazione. Dopo poco arriva 
anche la password temporanea di Aruba, seguita a ruota dal secondo annuncio 
di risoluzione del problema. 


Proviamo. Riesco a cambiare la password e a entrare nel pannello di gestione 
della Spid, dove scopro che nel frattempo (ma come mai?) è stata già annullata 
la sospensione della Spid. Che qualcuno si sia accordo dell’orrido loop che aveva 
creato e che inghiottiva i suoi clienti? Verifico le credenziali Spid di Aruba, che 
ora funzionano ambedue, e passo a creare e collaudare la nuova Spid di Poste 
Italiane. Dovrebbe essere velocissimo, invece ci vuole un bel po’; le procedure 
sono diverse e bisogna familiarizzarsi, ma dopo un’altra ora arrivo alla fine; ne 
riparleremo in un’altra puntata della nostra rubrica. Questo scherzo è costato 
mezza giornata di ambasce e lavoro. 


Cosa dire, oltre che segnalare con questo articolo la situazione ad Aruba, che 
sarà certo in grado di riconoscere quale loro cliente si nasconde sotto l’identità 
di Cassandra? Che la Spid è ancora ingestibile da parte di utenti che non siano 
naviganti di vecchia data, smaliziati e induriti nell'uso quotidiano della Rete 
e nella frequentazione di help desk? Che la Spid non è un posto per vecchi 
pensionati? Troppo ovvio. 


Sottolineiamo invece che Cassandra, come qualunque altro utente Spid, avrebbe 
dovuto prevedere la possibilità di imprevisti; dopotutto la qualità e l'affidabilità 
dei servizi informatici nel Belpaese non sono mai state particolarmente buone. 
Quindi avere una seconda Spid con un diverso fornitore diventa necessario. Per- 
ché? Per non dipendere da una singola credenziale che può essere improvvisa- 
mente “vittima” di errori dell’utente (non è questo il caso) oppure di problemi 
del fornitore (è proprio questo il caso). 


Altrettanto vale per un’altra risorsa informatica che può divenire indispensabile 


e critica: la firma digitale. Cosa succede se il vostro dispositivo di firma si 
guasta, o vi accorgete di averlo smarrito, quando vi apprestate ad apporre una 
firma urgente? Potenzialmente una tragedia. Magari sforate senza rimedio un 
termine per depositare una perizia o rispondere a un bando di gara. Possedendo 
una seconda firma digitale, proprio come una seconda Spid, è invece possibile 
utilizzare quella “di scorta” e poi, con calma, ripristinare quella che ha fallito. 


Quindi, fatelo! Fatevi (orrore!) non una sola Spid ma due. E fatevi anche due 
dispositivi di firma digitale, non uno. Oltretutto, la Spid2 è ancora gratis fino 
a fine 2020, e con certi fornitori anche la Spid3. Quindi non una Spid, ma due, 
sono la soluzione in questo Paese dove l’informatica è spesso fatta di servizi mal 
realizzati e trappole rivestite di buone intenzioni. 


Poi non dite che Cassandra non vi aveva avvertito. 
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